Käyttäjän elinkaaren Pro

Käyttäjäelinkaaren hallinta (ULM) on identiteetinhallinnan ja -hallinnan keskeinen osa, ja se keskittyy käyttäjäidentiteettien koko elinkaaren hallintaan organisaatiossa.

ULM sisältää useita prosesseja ja vaiheita käyttäjän alustavasta käyttöönotosta aina käyttäjän lopulliseen poistamiseen tai käyttöönoton lopettamiseen. ULM:n ensisijaisena tavoitteena on varmistaa, että sekä sisäisillä että ulkoisilla käyttäjillä on asianmukaiset käyttöoikeudet ja luvat, joita heidän roolinsa organisaatiossa tai yhteistyössä sen kanssa edellyttävät, samalla minimoiden tietoturvariskit.

Käyttäjän elinkaari koostuu tyypillisesti seuraavista vaiheista:

• Perehdytys: Tämä on ensimmäinen vaihe, kun uusi käyttäjä liittyy organisaatioon. Perehdytyksen aikana identiteetin hallinta- ja hallintajärjestelmä ( IGA ) luo käyttäjätunnuksen, määrittää tarvittavat käyttöoikeudet käyttäjän roolin ja vastuiden perusteella ja määrittää todennustiedot (esim. käyttäjätunnukset, salasanat tai muut todennusmenetelmät).
• Käyttö ja seuranta: Käyttäjien toiminnan ja pääsyn seuranta on elintärkeää poikkeavuuksien tai tietoturvauhkien havaitsemiseksi. IGA -järjestelmät voivat valvoa käyttäjien toimintaa, luoda lokeja ja tarjota tietoa epäilyttävistä toiminnoista.
• Käyttäjäpäivitysten hallinta: Kun käyttäjät vaihtavat rooleja, osastoja tai vastuita organisaatiossa, heidän käyttöoikeutensa on päivitettävä vastaavasti. Tässä vaiheessa käyttäjäoikeuksia muokataan vastaamaan heidän uusia vaatimuksiaan ja samalla varmistetaan, että tarpeettomat käyttöoikeudet peruutetaan.
• Käyttäjän poistaminen: Kun käyttäjä lähtee organisaatiosta tai ei enää tarvitse pääsyä tiettyihin resursseihin, aloitetaan käyttäjästä poistamisen prosessi. Tämä sisältää käyttöoikeuksien peruuttamisen, tilien poistamisen käytöstä ja sen varmistamisen, että lähtevä käyttäjä ei enää aiheuta turvallisuusriskiä. On erittäin tärkeää poistaa käyttäjät nopeasti luvattoman käytön estämiseksi.
• Arkistointi ja tietojen säilytys: Joissakin tapauksissa organisaatioiden on ehkä arkistoitava käyttäjätiedot ja säilytettävä niitä lakisääteisistä tai vaatimustenmukaisuuteen liittyvistä syistä, vaikka käyttäjä olisi lähtenyt organisaatiosta. Tämä vaihe sisältää arkistoitujen käyttäjätietojen turvallisen tallentamisen ja hallinnan.
• Raportointi ja vaatimustenmukaisuus: Organisaatioiden on ylläpidettävä käyttöoikeustietoja ja tehtyjä toimia koko käyttäjän elinkaaren ajan tarkastus- ja vaatimustenmukaisuustarkoituksia varten.

ULM auttaa organisaatioita varmistamaan tietoturvan, vaatimustenmukaisuuden ja toiminnan tehokkuuden. ULM:n avulla käyttäjien käyttöoikeudet on yhdenmukaistettu liiketoiminnan tarpeiden ja tietoturvakäytäntöjen kanssa käyttäjän matkan kaikissa vaiheissa organisaatiossa. Automaattinen ULM voi virtaviivaistaa monia näistä prosesseista, mikä tekee niistä tehokkaampia ja vähemmän alttiita inhimillisille virheille.

Tyypillisiä haasteita, joita eurooppalaiset organisaatiot kohtaavat ULM:n kanssa:

• Viivästynyt offboarding: 90 % organisaatioista raportoi, että offboarding kestää useita päiviä, mikä lisää tietoturvariskejä.
• Manuaalinen käyttäjien luominen: Käyttäjien luominen perustuu usein manuaaliseen työhön tai Active Directory mukautettuihin komentosarjoihin, jotka eivät tue päivityksiä. Tämä lähestymistapa voi johtaa tietoturvariskeihin ja uusien EU-asetusten noudattamatta jättämiseen.
• Usein tapahtuvat käyttäjäpäivitykset: Käyttäjäpäivitykset, erityisesti tilapäisten työntekijöiden tai osastojen muutosten osalta, on tehtävä usein. Manuaaliset menetelmät ovat sekä kalliita että riskialttiita.
• Epäjohdonmukainen käyttöoikeuksien hallinta: Yhdenmukaisten käyttöoikeuksien hallintakäytäntöjen hallinta ja valvonta organisaation resursseissa on vaikeaa käyttäjän elinkaaren ajan.
• Manuaalinen tilien hallinta: IT-järjestelmänvalvojat hallitsevat usein käyttäjätilejä manuaalisesti, mikä lisää kustannuksia ja tietoturvariskejä.
• Epäjohdonmukaisuuksien tunnistaminen: IT-järjestelmänvalvojien on tunnistettava manuaalisesti epäjohdonmukaisuudet HR-järjestelmistä saatavien käyttäjätietojen ja asiakashakemistojen tilitietojen välillä. Tämä tehtävä on vaikea, kallis ja johtaa usein käyttämättömien tai orpojen tilien tunnistamatta jäämiseen.
• Käyttöoikeuksien hallinta pitkäaikaisissa poissaoloissa: Käyttöoikeuksien manuaalinen käsittely pitkäaikaisten poissaolojen, kuten äitiys- tai sairausloman, aikana voi johtaa tietoturvaongelmiin, jos käyttöoikeuksia ei ole poistettu asianmukaisesti.

Efecte IGA tarjoaa käyttötapauksia ja ominaisuuksia, jotka vastaavat aiemmin mainittuihin haasteisiin:

Helppo käyttöönotto: Käyttöönottoa voidaan hallita helposti Efecte IGA Self Servicen kautta käyttämällä " Luo uusi käyttäjä " -käyttötapausta.
Vaihtoehtoisesti täysin automatisoitu perehdytys on mahdollista, kun integrointi HR-järjestelmiin on käytössä, hyödyntäen käyttäjän elinkaaren hallinnan käyttötapausta.

Helpot päivitykset: Päivityksiä voidaan hallita Efecte Self-Servicen kautta käyttämällä " Päivitä käyttäjätiedot " -käyttötapausta.
Täysin automatisoidut päivitykset ovat saatavilla myös integroituna HR-järjestelmiin hyödyntäen käyttäjäelinkaaren hallinnan käyttötapauksia.
Nämä päivitykset voivat sisältää henkilötietoja, kuten etu- tai sukunimen muutoksia, jolloin IGA ratkaisu luo käyttäjälle uusia hakemistoattribuutteja. Työsuhdetietojen päivitysten, kuten tittelimuutosten, osalta IGA ratkaisu validoi ja päivittää hakemistot ja säätää käyttäjän käyttöoikeuksia, jos automatisoidut säännöt ovat käytössä.

Helppo siirrot: Siirrot voidaan hoitaa Efecte SelfServicen kautta käyttämällä " Päivitä lähtevän käyttäjän tiedot " -käyttötapausta.
Täysin automatisoitu offboarding on myös mahdollista integroimalla se HR-järjestelmiin, jälleen käyttäjäelinkaaren hallinnan käyttötapausta käyttäen.

• Työsuhteen päättymiseen kuuluu tyypillisesti käyttäjän työjakson/-jaksojen lopettaminen, siihen liittyvien hakemistotilien/-tilien deaktivointi ja käyttöoikeuksien peruuttaminen. Tämä prosessi aloitetaan asettamalla käyttäjän työjaksolle työsuhteen päättymispäivä.
  • Jos fyysistä pääsyä hallitaan IGA ratkaisun kautta, käyttöoikeuden poisto sisältää myös avainten, kulkukorttien jne. palautuksen.
  • Offboardingia voidaan laajentaa ITSM/ESM (Enterprise Service Management) -käyttötapauksilla, kuten laitteiden, työvaatteiden jne. palautuksella.

Työjaksojen hallinta : Asiakkaat voivat määrittää IGA ratkaisun vastaanottamiin tietoihin liittyviä toimintoja, mukaan lukien useita aktiivisia työjaksoja omaavien käyttäjien käsittely.

Asiakkuudenhallinta : Määrittää, mitä tietoja toimitetaan ja mihin asiakkaan hakemistoon/hakemistoihin.

Automatisoidut säännöt : Efecte IGA -ratkaisun avulla järjestelmänvalvojat voivat määrittää automatisoituja sääntöjä organisaatioyksiköihin, kustannuspaikkoihin ja työtehtäviin liittyvien tietojen perusteella. Ratkaisun soveltamisalaan kuuluvat ominaisuuspohjainen pääsynhallinta (ABAC), roolipohjainen pääsynhallinta (RBAC) ja organisaatiopohjainen pääsynhallinta (OrBAC).

Ylläpitäjän raportointi ja toimenpiteet: IGA järjestelmänvalvojan raportointi ja muut tarvittavat toimenpiteet on kuvattu yksityiskohtaisesti käyttäjien elinkaaren hallinnan käyttötapauksissa (katso luku IGA järjestelmänvalvojien käyttötapaukset).

Käyttäjän henkilö- ja työsuhdetiedot voidaan vastaanottaa itsepalvelusta (esimerkiksi ulkoiset käyttäjät) tai HR-ratkaisusta valmiin liittimen , Efecte Integration Servicen tai Open API -integraation kautta.

Seuraava kuva havainnollistaa Efecte IGA n ULM-prosessille ominaisia käyttötapauksia. ULM perustuu ARM-käyttötapauksiin ja -ominaisuuksiin, mukaan lukien ULM-yhteensopivuusraportointi.